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Beschreibung 

Vorrichtung und Koppelgerat, so genannter Secure-Switch, zur 
Sicherung eines Datenzugrif f es 

Die Erfindung betrifft eine Vorrichtung und ein Koppelgerat, 
einen so genannten Secure-Switch, zur Sicherung eines Daten- 
zugrif fes eines ersten Teilnehmers Oder mehrerer Teilnehmer, 
die in einem ersten Teilnetz eines Automatisierungsnetzes 
angeordnet sind, auf einen zweiten Teilnehmer oder mehrere 
Teilnehmer, die in einem zweiten Teilnetz eines Automatisie- 
rungsnetzes angeordnet sind. 

Teilnehmer k5nnen beispielsweise Server, Programmiergerate, 

15 Bedien- und Beobachtungstationen, Servicegerate zur Wartung 
oder Diagnose, Automatisierungsgerate, dezentrale Peripherie 
oder Feldgerate sein, z. B. Messumformer oder Stellglieder , 
die in einem gemeinsamen Automatisierungsnetz zur Obertragung 
von Daten miteinander verbunden sind. Sie sind Bestandteile 

20 eines Automatisierungssystems, das zur Uberwachung eines 

technischen Prozesses, z. B. eines Fertigungsprozesses, ein- 
gesetzt wird und an sich bekannt ist. Derartige Automatisie- 
rungsnetze wurden bisher hierarchisch in mehrere Ebenen ein- 
geteilt, z. B. Prozess-, Automatisierungs- und zentrale Leit- 

25 ebene. Dabei wurden Komponenten der jeweiligen Ebene uber 

eine Datenubertragungseinheit, ein so genanntes Gateway, mit- 
einander verbunden. Autoraatisierungskomponenten der Prozess- 
ebene und/oder der Automatisierungsebene wurden horizontal 
mittels eines so genannten Feldbussystems und zur nachst 

30 hSheren Ebene, z. B. zur zentralen Leit- oder Steuerebene, 
vertikal mittels eines Ethernet-Bussystems miteinander ver- 
bunden. Feldbusse sind speziell auf die Erf ordernisse der 
Automat isierungstechnik ausgerichtet . Kommunikationsmedien 
und Protokolle far Feldbusse sind in der Burowelt in der 

35 Regel nicht verbreitet. Da Zugriffe von der zentralen Leit- 
und Steuerebene auf die Automatisierungs- oder Feldebene nur 
uber Gateways moglich waren, wurden Hackerangrif f e auf die 
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unteren Ebenen des Automatisierungsnetzes erschwert* Zu- 
nehmend erfolgt heute die horizontale Verbindung der Automa- 
tisierungskomponenten einer Ebene ebenfalls mittels eines 
Ethernet-Bussystems. Mit der zunehmenden Verbreitung von 
5 Ethernet auch auf den unteren Ebenen eines Automatisierungs- 
netzes wachsen die verschiedenen Ebenen enger zusammen und 
spezielle Gateways sind aus rein kominunikationstechnischer 
Sicht nicht langer notwendig. Damit sind Hackerangrif f e auch 
auf die unteren Ebenen eines Automatisierungsnetzes leichter 
10 maglich. 

Ein weiterer Trend ist die zunehmende Verschmelzung von Biiro- 
und Produktionsnetzen, die als Teilbereiche eines Automati- 
sierungsnetzes angesehen werden konnen. Daraus ergeben sich 

15 insbesondere aus sicherheitstechnischer Sicht neue Probleme. 
Ober das Buronetz in das Produktionsnetz eingetragene Sto- 
rungen der Automatisierungsgerate konnen den Produktionsbe- 
trieb unter Umstanden empfindlich storen oder beeintrachti- 
gen. Die damit verbundenen Risiken, z. B. Produktionsausf alle 

20 bis hin zu Gefahren fur Menschenleben, sind oft deutlich ho- 
her als bei Storungen, die auf ein Buronetz begrenzt sind. 
Storungen des Produktionsnetzes vom Buronetz aus konnen bei- 
spielsweise hervorgeruf en werden durch Fehlbedienungen, z. B. 
wegen Angabe falscher IP-Adressen, Viren, Trojaner oder Wur- 

25 mer, die versuchen, sich uber Personal Computer des Biironet- 
zes im Netzwerk auszubreiten, und die dabei unter Umstanden 
auch den Bereich des Produktionsnetzes erreichen, weiterhin 
durch Mitarbeiter, die beispielsweise TCP/IP-Netzwerk-Tools 
ausprobieren oder durch Angriffe von Mitarbeitern innerhalb 

30 der automatisierungstechnischen Anlage, die, wenn sie passi- 
ver Natur sind, als Spionage und, wenn sie aktiver Natur 
sind, als Sabotage bezeichnet werden kSnnen. Es ist daher 
erforderlich, bestimmte Teile des Automatisierungsnetzes vor 
unerlaubten Zugriffen zu schtitzen. 

35 

Aus der DE 101 24 800 Al ist es bekannt, funktions- und/oder 
geraterelevante Daten zwischen verschiedenen Ger&ten eines 
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Prozessautomatisierungssystems zumindest zum Teil ver- 
schliisselt auszutauschen. Dadurch soil eine flexible und zu- 
gleich sichere Handhabung ausgewahlter wichtiger Daten des 
Prozessautomatisierungssystems ermoglicht werden. Die Ver- 
5 schltisselung wird direkt in den Endgeraten vorgenommen. Dies 
erfordert eine groftere Leistungsf ahigkeit aller Endgerate, 
die an einer verschlusselten Datenubertragung beteiligt sind. 

Auf der Internetseite unter der Adresse 
10 www.thought.net/jason/bridgepaper/node9.html wurde am 

01.04.2003 ein Kapitel "bridging and IPsec" der Offentlich- 
keit zuganglich gemacht. Es wird eine Bridge beschrieben, die 
urn IPsec-Fahigkeiten erweitert ist. Auf einer Seite der Brid- 
ge eingehende Nachrichten im Ethernet-Format werden entspre- 
15 chend dem IPsec-Protokoll, das auf Layer 3 des ISO-OSI 7- 
Schichten-Modells angesiedelt ist, verschltisselt auf der 
anderen Seite der Bridge ausgegeben und konnen so geschutzt 
vor Zugriffen tiber einen unsicheren Netzwerkabschnitt tiber- 
tragen werden. Eine Anwendung auf Automatisierungsnetze ist 
20 nicht beschrieben. 

Der Erfindung liegt die Aufgabe zugrunde, eine Vorrichtung 
und ein Koppelgerat zur Sicherung eines Datenzugrif f s eines 
ersten Teilnehmers oder mehrerer Teilnehmer, die in einem 
25 ersten Teilnetz eines Automatisierungsnetzes angeordnet sind, 
auf einen zweiten Teilnehmer oder mehrere Teilnehmer, die in 
einem zweiten Teilnetz des Automatisierungsnetzes angeordnet 
sind, zu schaffen, die sich durch einen besonders geringen 
Auf wand auszeichnen. 

30 

Zur Ldsung dieser Aufgabe weist eine Vorrichtung der eingangs 
genannten Art die in Anspruch 1 angegebenen Merkmale bzw. ein 
Koppelgerat die in Anspruch 9 angegebenen Merkmale auf. In 
den abhangigen Anspruchen sind vorteilhafte Weiterbildungen 
35 der Erfindung beschrieben. 
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Unter dem Begriff "Tunnel" wird im Zusammenhang dieser Erfin- 
dung eine Verbindung zwischen zwei oder mehr Teilnehmern des 
Automatisierungsnetzes verstanden, die beztiglich Authentizi- 
tat, Integritat und/oder Vertraulichkeit eine in vorteilhaf- 
ter Weise sichere Datenubertragung gewahrleistet . Durch den 
Tunnel werden die gesamten Telegrammdaten, also Nutzdaten und 
Header-Informationen eines Telegramms, gesichert Ubertragen. 
Zum Aufbau eines Tunnels sind gemeinsame Geheimnisse (Shared 
Secrets) notwendig. wird der Tunnel zwischen zwei Partnern 
aufgebaut, so mussen beide Partner das gleiche Shared Secret 
oder ein zueinander passendes Public/Private-Key-Paar besit- 
zen. Soli der Tunnel auf mehr als zwei Partner (globaler Tun- 
nel) ausgedehnt werden, so mussen beispielsweise Shared Keys 
auf alle beteiligten Teilnehmer verteilt werden. Im Falle der 
15 Verwendung von Public/Private-Keys mussen bei mehr als zwei 
Partnern alle Partner untereinander derartige Schltisselpaare 
besitzen. Bei der Ver- oder Entschliisselung von Daten muss 
das jeweils fur den aktuellen Partner geltende Schltisselpaar 
herangezogen werden. Die Verwendung von Public/Private-Key- 
20 Paaren ist allerdings besonders in grdfieren Systemen eher 

kompliziert und aufwendig. Im Falle eines Shared Secrets ist 
das Verfahren einfach, da alle Teilnehmer den gleichen 
Schliissel besitzen, der fur alle Teilnehmer verwendbar ist. 

25 Die Erfindung erlaubt neben der Entkopplung von Biironetz und 
Produktionsnetz zudem einen aufwandsarmen Schutz von Teilnet- 
zen, z. B. Automatisierungszellen, innerhalb des Produktions- 
netzes. Dadurch sind unbeabsichtigte Wechselwirkungen, wie 
sie z. B. in einer Inbetriebnahmephase von Teilabschnitten 

30 auftreten konnen, vermeidbar. Mogliche interne Angreifer, die 
Zugang zum Produktionsnetz bekommen, z. B. Mitarbeiter von 
Montagefirmen, werden in ihren Moglichkeiten zur StSrung des 
Automatisierungssystems deutlich eingeschrankt . 

35 Die Realisierung eines Tunnelendpunktes erfolgt in einem 

Switch mit Software und/oder Hardwaremodulen . Dieser iiber- 
nimmt eine Stellvertreterfunktion fUr Gerate, die nicht 
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selbst in der Lage sind, einen Tunnelendpunkt zu realisieren. 
Damit ist die Vorrichtung zur Sicherung eines Datenzugrif f s 
in vorteilhafter Weise rackwirkungsf rei in bereits bestehen- 
den Automatisierungsnetzen anwendbar. Ruckwirkungsf rei be- 
deutet in diesem Zusammenhang, dass die *Teilnehmer des beste- 
henden Netzwerks nicht beziiglich ihrer Adressierung, des 
jeweiligen Subnetzes oder ihrer Parametrierung geandert wer- 
den mttssen. Dazu erfolgt die Zuordnung des Tunnels zum je- 
weiligen Teilnehmer in vorteilhaf terweise anhand der jewei- 
ligen Teilnehmeradresse, das heifit anhand der Adresse des 
bzw. der Teilnehmer, far den bzw. die der Tunnel stellvertre- 
tend durch die Vorrichtung aufgebaut wird. Vorzugsweise wird 
als Teilnehmeradresse eine IP-Adresse verwendet . Alternativ 
kann hierzu die Ethernet-MAC-Adresse verwendet werden. Die 
Entscheidung, welcher Tunnel bei einer gewttnschten Datenuber- 
tragung zu verwenden ist, wird also anhand der Adressen der 
beteiligten Endgerate vorgenommen. Bei IP-fahigen Teilnehmern 
kann das die IP-Adresse sein, bei Geraten, die iiber Ebene-2- 
Protokolle kommunizieren, die MAC -Adresse. Die far den Tun- 
nelaufbau erf orderlichen Ressourcen werden nur im vorgeschal- 
teten Switch bendtigt, so dass die dahinter befindlichen 
Teilnehmer oder Teilnetze mit geringeren Ressourcen auskom- 
men. Zudem kann in geschalteten Netzwerken, so genannten 
Switched Networks, ein ohnehin vorhandener Switch durch einen 
Secure-Switch zur Sicherung des Datenverkehrs ersetzt werden. 
Der Einsatz der Erfindung ist dann mit einem besonders gerin- 
gen Aufwand verbunden. 

Aufgrund der Verwendung eines Secure-Switches als Stell- 
vertreter far einzelne Teilnehmer oder mehrere Teilnehmer, 
die sich in einem Teilnetz befinden, ISsst sich die Vorrich- 
tung zur Sicherung eines Datenzugrif fs nachtraglich in beste- 
hende Netzwerke integrieren, ohne dass hierzu grofiere Um- 
stellungen der Teilnehmerparametrierung erforderlich waren. 
35 Die Automatisierungsgerate, die unter Umstanden Altgerate 
sein kdnnen und aber geringe Leistungsressourcen verfugen, 
konnen unverandert bleiben. Lediglich die Secure-Switches als 
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Stellvertreter miissen aufeinander abgestimmt werden. Neben 
dem Aspekt der Weiterverwendbarkeit der Altgerate kann diese 
Eigenschaft beispielsweise auch dann von Bedeutung sein, wenn 
die Parametrierung auf den Automat isierungsgeraten selbst 
nicht mehr verandert werden darf, z. B. well sie von Prtif- 
stellen abgenommen wurden und Anderungen neue Priifungen oder 
Nachweise erfordern wurden. Durch den Secure-Switch als 
Stellvertreter werden die nachgeschalteten Teilnehmer vom 
unsicheren Netz getrennt. Sie k6nnen in der Regel Kommunika- 
tion von auBen iiber die Tunnel ohne Weiteres akzeptieren. Bei 
anderer Kommunikation muss jedoch gepriift werden, ob sie fur 
die Teilnehmer zugelassen ist. Diese Priifung erfordert Re- 
ssourcen. Zudem k5nnen viele Broadcast-Telegramme oder zu- 
satzliche Belastungen beispielsweise aufgrund von UDP-Flood- 
15 ing-Angriffen aus dem Buronetz zu erheblicher Last am Tun- 

nelendpunkt fiihren. Wird der Tunnel endpunkt im Secure-Switch 
als Stellvertreter realisiert, so fallt die Last bei diesera 
an. Die Ressourcen der nachgeschalteten Teilnehmer kdnnen im 
Automatisierungsnetz weiterhin vollstandig fur die automat i- 
20 sierungstechnischen Funktionen genutzt werden. Wiirde die Last 
bei diesen Teilnehmern bewaitigt werden miissen, konnten sie 
bei der Erfullung ihrer automatisierungstechnischen Funk- 
tionen beeintrachtigt werden und schlimmstenf alls ausf alien. 
Ohne Stellvertreter waren die Automatisierungsgerate als 
25 Netzwerkteilnehmer direkt am unsicheren Netz sichtbar und 
daher auch angreifbar. Bei Fehlern in der Implementierung 
eines auf den Teilnehmern selbst abgewickelten Tunnelproto- 
kolls kOnnten sie bei Angriffen in ihrer Funktion beeintrach- 
tigt werden. 

30 

Da die Verwendung sicherer Tunnel nicht nur einen Zugriffs- 
schutz sondern zudem einen Schutz der Daten vor AbhSren und 
Veranderung (Privacy, Integrity) gewahrleistet, kann die 
Obertragung der Daten beispielsweise zwischen zwei Secure- 
35 Switches iiber ein unsicheres Netz erfolgen. In diesem Bereich 
werden an die Sicherheit der Obertragungsmedien keine Securi- 
tyanforderungen gestellt. Paarweise Tunnel, das heifit Tunnel 
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zwischen zwei Teilnehmern, ermSglichen es, die einzelnen bi- 
lateralen Verbindungen bezuglich der Obertragungssicherheit 
voneinander zu trennen. Ein globaler Tunnel, das heifit ein 
Tunnel mit mehr als zwei Endpunkten, kann gegenuber einera 
5 paarweisen Tunnel zum Sparen von Ressourcen beitragen, die 
gerade in Automat isierungsgerSten oft begrenzt sind. Das 
Mischen paarweiser Tunnel und globaler Tunnel, das heiftt die 
gleichzeitige Existenz verschiedenartiger Tunnel, ermoglicht 
eine bessere Skalierung des Automatisierungsnetzes . Besonders 
10 wichtige Kommunikationsverbindungen werden uber paarweise 

Tunnel, weniger kritische Verbindungen uber einen gemeinsa- 
men, globalen Tunnel eingerichtet . 

Da in der Automatisierungstechnik im Unterschied zur Buro- 
technik Netzwerke projektiert werden, konnen bei geeigneter 
Auslegung eines Projektierungstools aus dieser Projektierung 
eine Reihe von Parametrier- und/oder Konf igurierdaten fur den 
Secure-Switch abgeleitet werden. Fur die Konf igurierung wer- 
den somit keine oder geringe IT-Kenntnisse eines Bedieners 
vorausgesetzt . Projektiert und/oder parametriert werden ub- 
licherweise die Gerate des Automatisierungssystems und ihre 
Netzwerkverbindungen. Die Projektierung der Kommunikations- 
verbindungen ist notig, damit eine Kommunikation zwischen den 
Geraten ermoglicht wird. Aus der Projektierung des Netzes und 
der Kommunikationsteilnehmer lassen sich beispielsweise als 
Information ableiten: 

- welches Gerat kommuniziert mit welchem anderen Gerat, 

- welche Protokolle werden bei der Kommunikation benutzt, 

- in welcher Richtung erfolgt die Kommunikation und/oder 

- ttber welche gegebenenf alls alternativen Wege kann die 
Kommunikation ablaufen. 

Ein Projektierungstool kann so erweitert werden, dass auch 
35 die Sicherheitseinrichtungen und insbesondere der verwendete 
Secure-Switch projektiert werden. Wird der Secure-Switch in 
einer Verbindung zwischen zwei Teilnehmern platziert, so 
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lassen sich aus der Projektierung beispielsweise folgende 
Informationen zusStzlich ableiten: 

- welche Netze und/oder Gerate befinden sich hinter dem 
Secure-Switch, 

- welche Gerate hinter dem Secure-Switch kommunizieren mit 
welchen Geraten hinter einem zweiten Secure-Switch, 

- welche Gerate hinter dem Secure-Switch sind selbst in der 
Lage, sichere Tunnel aufzubauen, so dass der Secure-Switch 
verschliisselte Telegramme einfach weiterreichen kann. 

Aus solchen Informationen lassen sich fur die Parametrierung 
des Secure-Switches Informationen ableiten wie: 

zwischen welchen Secure-Switches und/oder Teilnehmern sind 
sichere Tunnel aufzubauen und welcher Art sind diese Tun- 
nelverbindungen (z. B. Host zu Netz, Netz zu Netz, Host zu 
Host) , 

zwischen welchen Secure-Switches und/oder Teilnehmern ist 
eine Authentif izierung notwendig und welche dieser Gerate 
mussen gemeinsame Geheimnisse besitzen oder auch wo werden 
welche Zertifikate bei einer zertif ikatsbasierten Authen- 
tifizierung benotigt und/oder 

- welche Sicherheitsregeln sind fur welche Verbindungen 
einzusetzen. 

Beispielsweise konnen Verbindungen von einem Programmiergerat 
zu einem Burorechner im Biironetz ohne Sicherung betrieben 
werden, das heilit die Daten werden vom Secure-Switch durch- 
geleitet, wahrend Verbindungen von einem Programmiergerat zu 
einer Automatisierungszelle ttber einen weiteren Secure-Switch 
zu sichern sind, das heifit ein Tunnel zwischen den beiden 
Secure-Switches aufzubauen ist. 

Die Verwendung des Layer 3 (Network-Layer) des ISO-OSI 7- 
Schichten-Modells als Basis ftir das Tunnelprotokoll bietet 
den Vorteil der Kompatibilitat mit der in Automatisierungs- 
netzen vorhandenen Inf rastruktur . Damit k6nnen auch Ebene-2- 
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Pakete, wie sie in der Automatisierungstechnik zum Teil vor- 
kommen, getunnelt werden. 

Besonders vorteilhaft bietet sich die Realisierung eines 
Tunnelendpunkts durch einen Layer-3-Port mit IPsec-Protokoll 
eines Secure-Switches an, der als Ethernet-Switch ausgebildet 
ist. Damit wird ein auJJerhalb der Automatisierungstechnik 
bereits weit verbreitetes und erprobtes Protokoll verwendet. 
Im Falle von IPsec als Basis fur das Tunnelprotokoll k6nnen 
Personal Computer mit tiblichen Betriebssystemen als Tunnel- 
endpunkt arbeiten. 

Prinzipiell konnte als Secure-Switch auch ein Layer 4-Switch 
eingesetzt werden, der einen Tunnel endpunkt mit einem Layer 
4-Protokoll realisiert, beispielsweise auf der Basis von SSL, 
Kerberos oder SSH anstelle des IPsec-Protokolls . Natiirlich 
miissen auch hier zur tfbertragung durch den Tunnel Ethernet- 
Pakete zuvor in IP-Pakete eingepackt werden, beispielsweise 
mit EtherIP, ehe sie durch das Security Protokoll, in diesem 
Fall SSL, Kerberos oder SSH, geschickt werden. 

Wenn der Secure-Switch zumindest einen Port besitzt, der als 
WLAN-Endpunkt ausgebildet und zur Realisierung eines Tunnel- 
endpunkts geeignet ist, kann Verdrahtungsauf wand und Platzbe- 
25 darf eingespart werden. Dabei werden durch das Konzept des 
Secure-Switches keine besonderen Security-Anf orderungen an 
den WLAN-Endpunkt gestellt. Beispielsweise ist keine WEP 
(wired equivalent privacy) -Sicherheitsarchitektur far den 
WLAN erforderlich, die eine Datenverschlusselung und evtl. 
30 eine Authentif ikation eines Teilnehmergerats gegenviber dem 
WLAN-Endpunkt ermSglicht. SelbstverstSndlich k6nnen vorhan- 
dene Sicherheitsmechanismen im WLAN-Endpunkt, beispielsweise 
MAC-Adressenbeschrankungen, weiterhin beibehalten werden. 
Durch die Verwendung eines Tunnels kann der WLAN-Endpunkt nun 
35 aber tiber sichere Kommunikationswege konfiguriert werden. Als 
Beispiel sei die Einstellung zulassiger MAC-Adressen im WLAN- 
Endpunkt genannt. Das Tunnelende befindet sich vorteilhaft 
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zwischen dem WLAN-Endpunkt und der zentralen Switch-Matrix 
des Secure-Switches. 



In vorteilhafter Weise wird die konstruktive Ausgestaltung 
5 des Switches derart gewahlt, dass er fur den Einsatz in einem 
Automatisierungssystern geeignet ist. Je nach Einsatzfall wird 
er so ausgelegt, dass die erf orderliche Schutzklasse, bei- 
spielsweise Staub-, Wasser- oder Explosionsschutz, eingehal- 
ten wird. Bei geeigneter Wahl der Bauform ist eine Hutschie- 
10 nen- oder Schrankmontage moglich. Vorteilhaft ist eine Strom- 
versorgung mit geringer Spannung, beispielsweise 24 V. 

Wenn ein zur Realisierung eines Tunnelendpunkts geeigneter 
Port von anderen Ports des Secure-Switches durch eine Mar- 
15 kierung unterscheidbar ist, so hat dies den Vorteil, dass die 
Verkabelung vereinfacht und Verkabelungsf ehler reduziert 
werden. 

Das Sicherheitsgefuhl eines Anwenders wird erh6ht, wenn der 
20 Zustand durch eine visuell erkennbare Markierung angezeigt 

wird. Erlaubt ein Port eines Secure-Switches die Obertragung 
von sicheren und unsicheren Telegrammen, so kann dieser rait 
einer umschaltbaren Markierung gekennzeichnet werden. 

25 Eine Realisierungsmdglichkeit ist beispielsweise eine farb- 
lich umschaltbare Leuchtdiode, die, wenn in der augenblick- 
lichen Konf iguration nur gesicherte Obertragung erfolgen 
kann, griin leuchtet, in einem anderen Fall, wenn in der au- 
genblicklichen Konf iguration gesicherte und ungesicherte 

30 Obertragung erfolgen kann, gelb leuchtet, und bei ausschliefi- 
lich ungesicherter Obertragung auf rot schaltet. Neben der 
Konfigurationsanzeige kann auch eine dynamische Verkehrsan- 
zeige vorteilhaft sein, die, urn die Sichtbarkeit zu ver- 
bessern, mit geeigneter Verlangerung der Anzeigedauer arbei- 

35 tet. Beispielsweise kann jedes ungesichert ubertragene Paket 
durch eine kurz gelb leuchtende Leuchtdiode und jedes gesi- 
chert Ubertragene Paket durch eine kurz griin leuchtende 
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Leuchtdiode angezeigt werden. Bei Mischtibertragung ergibt 
sich daraus ein Flackern der Leuchtdiode. Fur das Netzwerkma- 
nagement ist es zusatzlich vorteilhaft, wenn die Anzeige ttber 
den Sicherheitszustand des Ports automatisch, beispielsweise 
iiber SNMP-Protokoll, abfragbar ist. 

Anhand der Zeichnungen, in denen ein Ausf tihrungsbeispiel der 
Erfindung dargestellt ist, werden im Folgenden die Erfindung 
sowie Ausgestaltungen und Vorteile naher erlautert. 

Es zeigen: 

Figur 1 ein Blockschaltbild eines Automatisierungsnetzes 
und 

Figur 2 ein Blockschaltbild eines Secure-Switches. 



In Figur 1 ist der prinzipielle Aufbau eines Automatisie- 
rungsnetzes 1 dargestellt. Gezeigt sind im Wesentlichen die 
20 an der Kommunikation teilnehmenden Gerate, haufig als Teil- 
nehmer bezeichnet, und dazu erforderliche physikalische Ver- 
bindungen. Weitere Teile des Automatisierungssystems in einer 
prozesstechnischen Anlage sind der Ubersichtlichkeit wegen 
nicht dargestellt. Das Automatisierungsnetz 1 ist in dieser 
25 Darstellung unterteilt in ein Btironetz 2 und ein Produktions- 
netz 3. Diese Darstellung wurde in Anlehnung an die bisherige 
Situation gewahlt, in welcher Btironetz und Produktionsnetz 
voneinander getrennt ausgebildet und tiber ein Gateway mitein- 
ander verbunden waren. Ober das Btironetz eingetragene Hacker- 
angriffe konnten daher nur schwer in das Produktionsnetz ge- 
langen. In dem gezeigten Ausf tihrungsbeispiel sind Btironetz 2 
und Produktionsnetz 3 tiber eine Leitung 4 direkt miteinander 
verbunden und damit quasi verschmolzen. Die Datenubertragung 
erfolgt in beiden Netzen beispielsweise mit Ethernet TCP/IP. 
35 Im Btironetz 2 befinden sich nicht prozessnahe Gerate, z. B. 
ein Server 5 f Biiro PCs 6, 7, 8 und 9, ein Bedien- und Beob- 
achtungsgerat 10 und Programmiergerat 11, die zum Teil einer 
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zentralen Leitebene der herkommlichen Struktur zugeordnet 
werden konnen. Prozessnahe Gerate, z. B. ein Automat isie- 
rungsgerat 12, ein Messumformer 13, ein Bedien- und Beobach- 
tungsgerat 14 und ein Programmiergerat 15 sind in dem Pro- 
duktionsnetz 3 angeordnet. Dem Bedien- und Beobachtungsgerat 
10 sowie dem Programmiergerat 11 ist ein Secure-Switch 16 
vorgeschaltet, der mit einem Secure-Port 17, das heifit einem 
Port, der zur Realisierung eines Tunnelendpunkts geeignet 
ist, an die Netzleitung 4 angeschlossen ist. Die Gerate 10 
und 11 sind an Ports 18 bzw. 19 des Secure-Switches 16 
angeschlossen, die keine derartige Sicherheitseinrichtung 
aufweisen miissen. Im Produktionsnetz 3 sind die Gerate 12, 13 
und 14 in einem Teilnetz 20 angeordnet und dazu mit Ports 21, 
22 bzw. 23 eines Secure-Switches 24 verbunden. Ein Secure- 
Port 25 des Secure-Switches 24 ist an die Verbindungsleitung 
4 des Automatisierungsnetzes 1 angeschlossen. Ein Secure- 
Switch 26 mit einem Port 27 und einem Secure-Port 28, der mit 
dem Programmiergerat 15 bzw. der Verbindungsleitung 4 verbun- 
den ist, ist dem Programmiergerat 15 vorgeschaltet. Zur Si- 
cherung der Dateniibertragung zwischen dem Programmiergerat 
15, dem Automatisierungsgerat 12, dem Messumformer 13 und dem 
Bedien- und Beobachtungsgerat 14 ist zwischen dem Secure- 
Switch 24 und dem Secure-Switch 26 ein paarweiser Tunnel 29 
eingerichtet. Dieser Tunnel ist mit einem symmetrischen Ver- 
25 schltisselungsverfahren realisiert, in welchem beide Secure- 
Switches 24 und 26 ttber einen geheimen Schliissel verftigen. 
Ein globaler Tunnel 30 verbindet die Secure-Switches 24, 26 
und 16 miteinander, die tiber ein gemeinsames Geheimnis zur 
Ver- und Entschlusselung der Telegramme verftigen. Die Tunnel 
29 und 30 sind lediglich zur besseren Verdeutlichung in Figur 
1 getrennt von der Verbindungsleitung 4 dargestellt. Selbst- 
verstandlich werden durch Tunnel tibertragene Telegramme uber 
die Verbindungsleitung 4 tibertragen. Der Messumformer 13 ist 
ein vergleichsweise einfaches Gerat mit geringer Rechenleis- 
35 tung und daher nicht selbst in der Lage, einen Tunnelendpunkt 
zu realisieren. Fur dieses Gerat sowie fur die beiden weite- 
ren, in dem Teilnetz 20 befindlichen Gerate 12 und 14 bildet 
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der Secure-Switch 24 einen Stellvertreter zur Tunnelendpunkt - 
realisierung. In entsprechender Weise (ibernehmen auch die 
Secure-Switches 16 und 26 eine Stellvertreter funkt ion. Die 
Secure-Switches 16, 24 und 26 sind Layer-3-Switches, die zur 
5 Realisierung der Tunnelendpunkte das IPsec-Protokoll verwen- 
den. 

Zur Unterscheidung von den Ports 18, 19, 21, 22, 23 und 27, 
die wie tibliche Ports eines Switches nicht in der Lage sind, 
10 einen Tunnelendpunkt zu realisieren, sind die Ports 17, 25 
und 28 der Secure-Switches 16, 24 bzw. 26 mit einer farbli- 
chen Markierung, im gezeigten Ausf iihrungsbeispiel mit einer 
schwarzen Markierung, versehen. 

Alternativ zu dem dargestellten Ausf iihrungsbeispiel des Au- 
tomatisierungsnetzes 1 konnte der Switch 16 entfallen, wenn 
das Bedien- und Beobachtungsgerat 10 sowie das Programmier- 
gerat 11 selbst in der Lage waren, einen Tunnelendpunkt zu 
realisieren. In diesem Fall waren diese Gerate direkt an die 
Verbindungsleitung 4 angeschlossen und ein globaler Tunnel 
hatte jeweils einen Endpunkt beim Bedien- und Beobachtungs- 
gerat 10, beim Programmiergerat 11 sowie in gleicher Form, 
wie anhand Figur 1 zuvor beschrieben, bei den Secure-Switches 
24 und 26. Diese Variante hatte jedoch den Nachteil, dass die 
Ressourcen zur Realisierung eines Tunnelendpunkts in den bei- 
den Ger&ten 10 und 11 benotigt wiirden, so dass fur ihre ei- 
gentlichen Funktionen der Automatisierungstechnik geringere 
Kapazitaten zur Verfugung stunden. Das gemeinsame Geheimnis 
miisste dann bei alien Tunnelendpunkten, das heiftt in den Ge- 
raten 10 und 11 sowie in den Secure-Switches 24 und 26 gehal- 
ten werden. 

Durch die Verwendung des Switches 24 im Teilnetz 20 sind 
sSmtliche Verbindungen der Netzwerkteilnehmer, hier des Auto- 
35 matisierungsgerats 12, des Messumf ormers 13 und des Bedien- 
und BeobachtungsgerSts 14 durch Punkt-zu-Punkt -Verbindungen 
realisiert. Eine derartige Struktur wird h^ufig als geschal- 
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tetes Netzwerk, insbesondere als Switched-Ethernet , bezeich- 
net. Zusammen mit anderen Mafinahmen erlaubt es diese f die in 
einer Automatisierungsumgebung geforderten Echtzeitbedingun- 
gen zu erftillen. 

5 

Das Programmiergerat 11 dient im Automatisierungsnetz 1 als 
Projektierungstool, mit welchem neben der in Automat is ie- 
rungsnetzen ublichen Projektierung bei der Verwendung von 
Secure-Switches der Projekteur zusatzlich festlegt, in wel- 

10 chem Netz sich die Secure-Switches befinden und welche da- 

hinterliegenden Teilnehmer durch ihn geschutzt werden sollen. 
Diese Eingaben sind fur einen Automatisierungstechniker in 
der Regel leicht vorzunehmen. Beispielsweise wird vor alle 
Gerate, die zu einer Produktionszelle gehoren, wie im ge- 

15 zeigten Ausf uhrungsbeispiel vor die Gerate 12 , 13 und 14, ein 
Secure-Switch, hier der Secure-Switch 24, gesetzt. Mit dem 
Projektierungstool werden die Kommunikationspartner sowie 
deren Adressen, z. B. IP-Adressen, Netzwerkverbindungen, uber 
die diese Kommunikationspartner miteinander verbunden sind, 

20 Automatisierungsfunktionen und deren Kommunikation unterein- 
ander sowie die Position der Secure-Switches im Netzwerk 
festgelegt. Anhand dieser Festlegungen konnen fiir den Aufbau 
der Tunnel beispielsweise folgende Parameter automatisch er- 
mittelt werden: Adressen der einzelnen Tunnelendpunkte, mit 

25 welchen anderen Tunnelendpunkten muss ein bestimmter Tunnel-' 
endpunkt Tunnel aufbauen, Erzeugung der Geheimnisse und/oder 
Zertifikate. 

Durch Eigenschaften der Secure-Switches, Anwendungsprof ile 
30 oder durch proj ektglobale Einstellungen beim Anwender kann 
festgelegt werden, welche Ports von Switches sicher sind, 
welches Tunnelprotokoll zu verwenden ist und/oder welche 
Sicherheitseinstellungen verwendet werden, z. B. Verschliisse- 
lungsmethode, Integritatsschutzmethode, Authentif izierungs- 
35 methode, Giiltigkeitsdauer der Schltissel usw. 
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Figur 2 zeigt den prinzipiellen Aufbau eines Secure-Switches 
40. Der Aufbau des Secure-Switches 40 1st ahnlich dem eines 
her kommli chen, so genannten manageable Switches, der iiber 
eine eigene IP-Adresse oder iiber eine zusatzliche, in Figur 2 
5 der Obersichtlichkeit wegen nicht dargestellte serielle 

Schnittstelle ansprechbar ist. Ports 41, 42, 43 und 44 sind 
"normale" Ports und in der bei herkdmmlichen Switches iibli- 
chen Weise ausgestaltet . Der Port 45 ist ein sicherer Port, 
ein so genannter Secure-Port, der in der Lage ist, einen Tun- 
10 nelendpunkt zur gesicherten Obertragung von Daten zu einem 
anderen Tunnelendpunkt zu realisieren. Dazu wurde er gegen- 
tiber einem herkommlichen Port urn einen so genannten Secure 
Channel Converter 4 6 erganzt. Ein weiterer Secure Channel 
Converter 47 befindet sich zwischen einer Switch-Matrix 48 
15 und einem WLAN-Endpunkt 4 9, der die Funktionen eines WLAN- 
Access-Point erfullt und mit welchem iiber eine Antenne 50 
drahtlose Kommunikation mit einem Tunnelprotokoll durchge- 
fiihrt werden kann. BezUglich der Sicherheitsf unktionen un- 
terscheidet sich dieser Port fur drahtlose Kommunikation 
nicht von dem drahtgebundenen Secure-Port 45, so dass es 
gentigt, die Funktionen des Secure-Switches 40 anhand des 
Secure-Ports 45 zu erlautern. Alle Telegramme, die aus dem 
Secure-Port 45 gesendet werden, durchlaufen den Secure 
Channel Converter 46. Ein Ethernet-Paket wird je nach Erfor- 
25 dernis gesichert, z. B. in ein IP-Paket uberfuhrt und mit dem 
IPsec-Protokoll gesichert. Danach ist das Telegramm wie ein 
normales Paket des Tunnelprotokolls aufgebaut und kann iiber 
eine IP-Inf rastruktur, die beispielsweise auch Router ent- 
halt, transport iert werden. Die Sicherungsmechanismen verhin- 
dern unerlaubte Veranderungen und unerlaubtes MithSren des 
Tunnelpakets . Im Empfangsbetrieb wird das Paket nach dem 
Empfang zunachst beispielsweise auf folgende Eigenschaf ten 
gepriift: 

35 - ist die maximal zulassige Empfangsdatenrate tiberschritten 
(DoS-Schutz) , 
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- ist das empfangene Telegramm vom Typ des Tunnelprotokolls, 
bei IPsec z. B. AH oder ESP, 

- stammt das Paket von einem berechtigten Sender (Authenti- 
f izierung) , 

5 - ist das Paket unver&ndert (Integritat) und/oder 

- wurde das Paket bereits empfangen (Replay-Schutz) ? 

Fa lit eine dieser Priifungen negativ aus, so wird das Paket 
verworfen und gegebenenf alls ein Logging-Eintrag far eine 
10 Systemanalyse vorgenomraen. 

Werden diese Priifungen erfolgreich absolviert, so wird das 
Paket in entpackter Form, das heiflt in der urspriinglich durch 
den Teilnehmer gesendeten Form, an den Empfanger weitergelei- 
tet. Die Entpackung kann gegebenenf alls eine Entschlusselung 
einschlielien. Im Secure-Switch kann das entpackte Paket zuvor 
optional weiteren Priifungen im Sinne iiblicher Paketfilter un- 
terzogen werden. Dadurch ist es moglich, einen feiner abge- 
stuften Zugriff sschutz zu realisieren. Dieser basiert bei- 
spielsweise auf IP-Adressen, denen hier vertraut werden kann, 
da die Pakete iiber einen sicheren Tunnel angekommen sind. 
Nach den Priifungen und dem Entpacken im Security-Channel- 
Konverter 4 6 wird das Paket in herkommlicher Weise iiber die 
Switch-Matrix 48 an einen der Switch-Ports 41... 44 weiterge- 
leitet und so an den Empf angsteilnehmer iibergeben. 

Die Realisierung der Stellvertreterf unktion durch einen 
Secure-Switch hat gegenuber der Verwendung eines bekannten 
VPN-Routers beispielsweise den Vorteil, dass er fur den 
30 nachtrSglichen Einbau in vorhandene flache Netze, wie sie in 
der Automatisierungstechnik haufiger anzutreffen sind, geeig- 
net ist. Ein VPN-Router wurde namlich eine Bildung von Sub- 
netzen erfofdern, weiterhin eine spezielle Konf iguration auf 
den Teilnehmern, die sicher iiber den VPN-Tunnel kommunizieren 
35 wollen, da die IP-Adresse des VPN-Routers als Gateway bei 

alien Kommunikationspartnern eingetragen werden muss, und der 
VPN-Router konnte nur IP-Pakete tunneln. Ebene-2-Pakete, wie 
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sie in der Automatisierungstechnik zum Teil vorkommen, warden 
durch den VPN-Router daher nicht getunnelt und nach Einfuhren 
von VPN-Routern im Automatisierungsnetz wurden nicht mehr 
alle Protokolle funktionieren. Dagegen kann der beschriebene 
Secure-Switch 4 0 nahezu riickwirkungsf rei in ein bestehendes 
Netzwerk integriert werden. Er arbeitet wie ein herkdmmlicher 
Switch, jedoch mit einem oder mehreren sicheren Ports. Damit 
benStigt er keine oder - je nach Realisierung - eine IP-Ad- 
resse, keine Subnetz-Bildung, keine Neukonf iguration der an 
der Kommunikation beteiligten Endgerate und der gesamte Ver- 
kehr ab Ebene 2 des 7-Schichten-Modells kann getunnelt wer- 
den. 
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Patentansprtiche 

1. Vorrichtung zur Sicherung eines Datenzugrif f s eines ersten 
Teilnehmers (11) oder mehrerer Teilnehmer (12... 14), die in 

5 einem ersten Teilnetz (20) eines Automat isierungsnetzes (1) 
angeordnet sind, auf einen zweiten Teilnehmer (15) oder meh- 
rere Teilnehmer (10, 11), die in einem zweiten Teilnetz des 
Automatisierungsnetzes (1) angeordnet sind, rait zumindest ei- 
nem so genannten Secure-Switch (16, 24, 26), der dem ersten 

10 Teilnehmer (11) bzw. den Teilnehmern (12... 14) des ersten 
Teilnetzes (20) vorgeschaltet ist, zum Aufbau eines so ge- 
nannten Tunnels (29, 30) zu dem zweiten Teilnehmer (15) bzw. 
den Teilnehmern (10, 11) des zweiten Teilnetzes, durch wel- 
chen Daten tiber ein unsicheres Netzwerk gesichert ubertragbar 

15 sind, wobei der Secure-Switch (16, 24, 26) den Tunnel stell- 
vertretend fur den ersten Teilnehmer (11) bzw. stellvert re- 
tend fur die Teilnehmer (12... 14) des ersten Teilnetzes (20) 
aufbaut und den Tunnel diesem bzw. diesen anhand der 
jeweiligen Teilnehmeradresse zuordnet. 

20 

2. Vorrichtung nach Anspruch 1, dadurch gekenn- 
zeichnet , dass ein Pro jektierungstool (11) vorgese- 
hen ist zur Projektierung des Automatisierungsnetzwerks (1), 
durch welches Parameterdaten des Secure-Switches (16, 24, 26) 

25 automatisch erzeugbar und zum Secure-Switch Ubertragbar sind. 

3. Vorrichtung nach Anspruch 1 Oder 2, dadurch g e - 
kennzeichnet , dass der Secure-Switch (16, 24, 28) 
als Ethernet-Switch und zumindest ein Port (17, 25, 28) als 

30 Layer-3-Port zur Realisierung eines Tunnelendpunkts ausgebil- 
det ist. 

4. Vorrichtung nach Anspruch 3, dadurch gekenn- 
zeichnet , dass zur Realisierung des Tunnelendpunkts 

35 das IPsec-Protokoll anwendbar ist. 
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5. Vorrichtung nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass der Secure- 
Switch (40) zumindest einen Port (47, 49, 50) besitzt der als 
WLAN-Endpunkt ausgebildet und zur Realisierung eines Tun- 

5 nelendpunkts geeignet ist. 

6. Vorrichtung nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass der Secure- 
Switch konstruktiv fur den Einsatz in einem Automatisierungs- 

10 system geeignet ist. 

7. Vorrichtung nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dass ein zur 
Realisierung eines Tunnelendpunkts geeigneter Port (45) von 

15 anderen Ports (41... 44) des Secure-Switches (40) durch eine 
Markierung unterscheidbar ist. 

6. Vorrichtung nach Anspruch 7 , dadurch gekenn- 
zeichnet , dass die Markierung umschaltbar ist. 

20 

9. Koppelgerat, so genannter Secure-Switch, zur Sicherung ei- 
nes Datenzugrif fs eines ersten Teilnehmers oder mehrerer 
Teilnehmer, die in einem ersten Teilnetz eines Automatisie- 
rungsnetzes angeordnet sind, auf einen zweiten Teilnehmer 

25 oder mehrere Teilnehmer, die in einem zweiten Teilnetz des 
Automatisierungsnetzes angeordnet sind, wobei der Secure- 
Switch dem ersten Teilnehmer bzw. den Teilnehmern des ersten 
Teilnetzes vorschaltbar ist und eine Einrichtung (46), einen 
so genannten Secure Channel Converter, aufweist zum Aufbau 

30 eines so genannten Tunnels zu dem zweiten Teilnehmer bzw. den 
Teilnehmern des zweiten Teilnetzes, durch welchen Daten iiber 
ein unsicheres Netzwerk gesichert iibertragbar sind, wobei der 
Tunnel stellvertretend fur den ersten Teilnehmer bzw. die 
Teilnehmer des ersten Teilnetzes aufbaubar ist und diesem 

35 bzw. diesen anhand der jeweiligen Teilnehmeradresse zuorden- 
bar ist. 
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